1、精品文档就在这里-各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有-山东省农村信用社网上银行业务风险管理暂行办法第一章 总则第一条 为规范农村信用社网上银行业务风险管理工作,确保网上银行业务安全稳定运行,维护农村信用社及其客户的合法权益,根据中华人民共和国商业银行法、中华人民共和国电子签名法、电子银行业务管理办法、电子银行安全评估指引等有关法律法规,制定本办法。第二条 网上银行业务是指农村信用社利用计算机和互联网开展的账户查询、存款管理、转账汇款、自助缴费、网银实时、网上支付等银行业务。第三条 网上银行业务风险管理是指在开办网上银行业务过程中对网上银行风险进行识别、分析并
2、采取有效措施进行防范、控制和处理的行为。第四条 网上银行业务风险管理涉及的对象包括:农村信用社、客户和第三方。其中,农村信用社主要指山东省农村信用社联合社(以下简称省联社),各办事处、市联社,各县(市、区)联社、农村合作银行、农村商业银行(以下统称县级联社);客户主要指企业客户、个人客户;第三方主要指服务提供商和业务合作伙伴等。第五条 网上银行业务风险管理遵循的基本原则:(一)一致性原则。风险管理的目标在于为业务发展提供安全健康的运行环境,必须确保网上银行风险管理与业务发展目标的一致性,实现经营效益最大化。(二)全面性原则。风险管理的内容应涉及网上银行业务的各个部门、岗位、业务运行环节和相关方
3、。(三)系统性原则。风险管理的运行机制应具有系统性,包括准确的风险识别机制、有效的风险控制机制、及时的风险补救机制和科学的风险评估机制。(四)集中与分散相统一原则。风险管理的模式采取“统一管理、分级负责”的做法。省联社对全省农村信用社网上银行业务安全风险进行统筹规划与管理,各办事处、市联社对辖内网上银行业务的风险管理工作具体负责。(五)成本原则。风险管理工作应与网上银行业务的经营规模、业务范围和风险特点相适应,以合理的成本实现风险管理的目标。第二章 风险预防第六条 根据网上银行业务运作特点,应重点加强管理的风险种类,包括:战略风险、技术风险、操作风险、声誉风险、信用风险以及法律风险等。(一)战
4、略风险是指因银行经营决策失误、决策执行不当或对行业变化应对不当等因素,导致业务收益或资本形成现实或长远的不确定性或损失。(二)技术风险是指银行在使用与计算机、网络等信息技术相关的产品、服务、传递渠道或系统时,所产生或引发的不确定性或对银行管理的不利因素。(三)操作风险是指由于客户或银行员工操作不当或失误而导致的业务损失或不确定性;由于不完善或有问题的内部程序、人员及系统或外部事件造成损失的可能性。(四)声誉风险是指因公众负面舆论而导致银行资金或客户严重流失的可能性。(五)信用风险是指因客户恶意违约而使银行蒙受损失的现实结果或可能性。(六)法律风险是指由于违反或不遵守法律、法规或约定的惯例,或者
5、没有完善地界定有关交易各方在法律上的权利和义务,从而产生或引发的对银行管理的不利因素。第七条 根据不同的风险管理对象、风险种类,按照风险管理的基本原则采取相应的管理措施,贯彻“预防为主”的思想,做到事前严密防范、事中有效控制、事后及时处理。第八条 必须建立健全网上银行业务风险管理体系和内部控制体系,强化业务管理并运用有效技术手段,保证网上银行业务风险管理工作有序开展。第九条 网上银行业务风险管理纳入全省农村信用社风险管理体系。按照省联社网上银行发展战略和经营投资策略,切实防范战略风险;电子银行部、信息科技部和其他相关部门在风险控制部门的指导下,根据相应职责范围开展网上银行工作。在预防、控制和处
6、理网上银行业务风险过程中,各部门之间应相互配合,协同工作。(一)电子银行部负责制订与完善风险管理制度及实施细则,组织开展网上银行业务自律监管、内控检查以及安全评估,有效识别、监测、控制和评估网上银行业务风险,及时向主管领导及法律事务部门报告风险信息和处理情况。(二)信息科技部负责产品研发过程中的技术风险分析、网上银行运营设备和安全控制设备的正常运转、网上银行数据的安全存放和传递、风险管理技术手段的安全保障。(三)审计部负责对网上银行业务进行审计。(四)政策法规部负责网上银行业务风险管理所涉及的法律事务工作,并负责网上银行业务知识产权的保护工作。(五)监察保卫部负责协助公安部门对网上银行业务操作
7、违法行为的调查、侦破。第十条 产品研发的风险预防(一)调研论证。产品开发的市场调研和可行性论证须包括:新产品在业务流程中的操作风险评估、技术风险分析、法律风险分析、市场风险预测以及拟采取的风险防范措施等。(二)立项审批。省联社科学评估网上银行产品的综合风险,以符合业务总体发展战略要求,切实防范战略风险,严格审查设计方案,充分考虑法律风险因素。 (三)需求编写。电子银行部根据客户需求和业务发展实际编写业务需求书,明确提示风险点,避免出现操作、技术和法律风险。(四)设计开发。信息科技部会同业务部门根据产品需求制定实施方案,并充分考虑技术、操作、信用和管理等方面的风险因素,深入研究技术架构、软件模型
8、方面的风险问题。(五)产品验收。在产品验收前,要进行相应风险测试,同时严格执行验收制度,把风险评价结果作为是否推广该产品的重要依据。(六)制度制定。在新产品验收合格上线前,要制定规范科学、严密完善的业务制度(包括各类业务操作规程、服务协议及合同文本等),强化制度建设,严控风险防范。第十一条 为降低声誉风险,省联社因网上银行系统升级、测试等原因,需要按计划暂时停止网上银行服务的,要将有关情况报告当地监管部门并提前3天在营业网点或网站上予以公告,尽可能减少对客户的影响。 第三章 风险控制第十二条 市场营销的风险控制(一)开展网上银行业务时,必须与客户签订网上银行服务协议或合同,明确双方的权利和义务
9、,通过各种方式充分提示交易过程中客户可能面临的风险,说明客户自身应采取的风险防范措施以及农村信用社和客户各方应承担的责任。(二)在与第三方合作时,必须对其综合情况进行风险调查分析,严防因第三方出现风险问题影响农村信用社声誉。确定合作关系时,要与其签订书面合同,明确双方的权利和义务,严格遵守国家有关计算机信息系统安全、商用密码管理和消费者权益保护等方面的法律法规,书面合同中必须载明有关保密条款和保密责任。第十三条 业务管理的风险控制(一)网上银行业务管理和操作人员必须牢固树立合法合规意识,严格执行网上银行业务的制度规定。杜绝任何侥幸心理和做法,做到防微杜渐;对违反网上银行安全规定的行为必须立即予
10、以制止并纠正。(二)网上银行业务的开通申请、业务功能修改和撤销、数字证书的发放,必须坚持在线自助签约或柜面受理、主管授权的基本原则,保证操作安全。(三)网上银行业务的开通,必须首先与客户签订网上银行服务协议,明确双方的权利与义务,并在协议条款和网站上对网上银行业务有可能造成的风险进行公告。(四)详细说明并提供动态演示流程,清晰告知客户网上银行操作要领;通过客户服务中心、操作指南、门户网站、柜员指导等多渠道提供帮助,并及时进行风险提示。(五)通过交易限额、登录保护、密码强度以及各类防范技术尽可能减少客户发生风险损失的概率。(六)开展对相关客户信息和交易信息等进行认证的网上银行业务,必须使用安全可
11、靠、具有公信力和相应法律效力的认证系统。认证系统的选择由省联社根据银行业监管部门的要求统一确定。(七)省联社要建立和完善网上银行业务统计分析管理系统,加强对操作风险数据的跟踪和收集,汇总分析风险管理的数据、资料和业务运营情况,搭建操作风险计量考核平台,为网上银行安全评估工作提供量化数据。第十四条 运行维护的风险控制(一)严格遵守系统运行维护人员与系统设计开发人员相分离的原则。产品需求编写人员和系统软件编程人员不得直接进入和修改生产应用系统,不得直接自行修改关键业务指标和重要技术参数。建立合理的上级管理人员授权机制,严格控制接触权限,防止人员变更后相关内容泄露。(二)采取有效措施,确保网上银行业
12、务生产应用系统与投入生产前的测试应用系统的充分隔离;按照管理权限对后台数据库进行安全维护。从业务制度规定和技术手段两方面,切断各方之间风险传递的路径。(三)保证网上银行的网络安全。合理设置和使用防火墙、防病毒软件等安全产品和技术,确保网上银行有足够的防攻击能力和防病毒能力,及时对系统容量进行安全检查,采取必要措施保证接入线路的安全通畅。(四)使用网上银行重要技术设施设备,必须符合国家安全规定要求;对重要设施设备定期进行检查和维修;对重要技术设施设备的接触、检查、维修和应急处理,应具备明确的权限界定、责任划分和操作流程,并建立日志文件管理制度,如实记录并妥善保管相关记录。(五)保障网上银行业务数
13、据的安全存放和传递。所有交易都要有清晰的跟踪记录;遵守相关法律法规,对客户个人信息和隐私权加以充分保护;开发的产品在投入生产运营时,必须采用国家规定的加密技术和措施,保证网上交易数据传输的保密性、真实性、完整性和不可否认性。(六)加强有形场所的物理安全控制。风险防范必须符合国家有关法律法规和安全标准的要求,确保安全制度的完整性。第十五条 自律监管和内控检查(一)现场检查。针对网上银行业务的安全要求和特性,通过现场检查的方法对业务操作环节和制度办法的落实情况进行监督管理。规范现场检查的程序、方式和内容,定期开展现场检查工作。(二)非现场监测。非现场监测主要采用人工调查咨询、利用网银内管系统远程监
14、测查询等方式进行。非现场监测的主要内容为网上银行业务发展规模和应用系统的安全程度。非现场监测可根据业务实际适时开展。(三)省联社对各办事处、市联社及各县级联社每季度至少开展一次业务检查,检查面不低于30。第十六条 省联社、各办事处、市联社及各县级联社审计部门要加强网上银行的内控检查,将网上银行业务纳入审计范围,确定审计的内容和重点,定期或不定期组织对网上银行业务进行审计检查,有效控制和防范网上银行业务风险。第四章 风险管理措施第十七条 证书认证体系管理措施。采用中国金融认证中心颁发的证书认证体系,具有功能强大、安全可靠的特点,同时结合SSL加密手段,为网上银行用户提供安全保障。第十八条 安全性
15、产品和解决方案管理措施。1. DDOS技术。在互联网接口处部署防DDOS攻击设备,对来自公网的DDOS攻击进行自动防御,确保网上银行的对公服务稳定运行。2. 防火墙技术。在内部网和互联网之间设置防火墙,以控制非法用户入侵,确保网上银行的客户资料和交易信息不被窃取。3. 负载均衡技术。对接入互联网的双链路负载均衡,对网上银行系统所有内部主机进行服务器负载均衡。4. 实时入侵监控。安装实时入侵监控器,对整个网络系统进行每天24小时的不间断实时监控,一旦发现非法入侵,立即记录入侵者的地址并同时切断与入侵者的连接,以确保网络系统的安全。5. 数据备份。为防止突发的意外事件造成系统崩溃和数据丢失,网上银
16、行系统建立严格、及时和完备的数据备份和恢复机制,在不可预测事件发生之后,在最短的时间内恢复系统的正常运行,使灾害性事件造成的损失减少到最小。第十九条 企业网上银行业务管理措施。企业网上银行系统由具体的企业人员操作。操作员的增加、删除等业务必须到农村信用社营业网点办理。农村信用社网上银行提供企业审核流程管理,根据企业网银客户不同的业务类型及金额,设置不同权限的企业操作员分级进行审核。第二十条 内部管理风险防范措施。内部管理系统提供网银签约、用户管理、账户管理、信息修改、证书管理、日志查询、业务统计、交易监控和信息发布等功能,以加强网上银行系统的日常管理工作,确保网上银行系统的正常运行。第二十一条
17、 系统安全风险防范措施1网络安全措施。在网络配置和管理上采取的安全措施主要包括:(1)双线路接入。为保证对外提供服务的线路稳定,在网上银行系统的互联网出口处,分别向运营商电信和联通申请了公网线路,并部署了F5负载均衡设备,对两条线路进行链路级的负载均衡。双线接入,以确保网银服务的稳定运行。(2)防DDOS攻击。网上银行系统在互联网出口的双线路上,均部署防DDOS攻击设备。(3)安全区域的分级。网上银行系统的各个服务器,按照功能和安全级别,划分在不同的安全区域中。不同的安全区域通过防火墙设备相隔离。对不同安全区域的访问,需要在防火墙上设置严格的访问控制。同时,网上银行系统在纵向上部署两道防火墙,
18、分别进行不同级别的安全访问控制,以防范恶意攻击和非法入侵活动。(4)IDS实时入侵检测。网上银行系统各安全区域的接入交换机上,均旁路部署实时入侵检测网络探头,以对网上银行系统各安全区域实行24小时不间断地严密监控,一旦发现网上银行系统上有端口扫描、尝试登录、修改系统文件、安装软件等可疑活动,入侵检测系统视活动的危害严重程度而采取阻断、报警、记录日志等有效的防范措施,及时保障网上银行系统的安全。(5)设备冗余技术。网上银行系统的部署中,所有网络安全设备,包括F5链路负载均衡设备、防火墙设备、F5服务器负载均衡设备等,均采用双机热备的方式部署。其中任意一台设备损坏,都会以毫秒级速度实现自动切换,不
19、会对业务运转带来影响。同时,网上银行系统中所有的服务器设备,均采用双机热备的方式,为网上银行系统的稳定运行提供更加有力的保证。(6)安全评估。为适应网络技术的更新速度,通过第三方权威认证机构定期对网上银行系统进行安全评估,有效的保证网上银行系统的稳定运行。2系统安全措施(1)控制系统安装过程。所有网上银行系统的服务器在安装之前都列出提供系统服务所必须的系统组件,只安装必须的系统文件和服务;在系统安装并配置好之前,服务器不接入网络;系统安装好之后立即打上厂商提供的最新补丁防止系统漏洞。(2)进行系统安全配置。在系统安装完成之后,对系统的缺省配置进行修改,以保证系统安全,关键性的系统安全配置包括:
20、限制用户错误口令登录次数,禁用系统无用的、有危险性的服务进程,禁用系统缺省的用户,检查并修改重要系统目录和文件的权限等。(3)严格限制访问控制权限。对网上银行系统的服务器用户采取严格的控制措施,具体包括:控制系统管理员的人数,任何一台服务器的管理员密码控制在两个互为备份的系统管理员范围内;严格控制普通用户的个数和权限,只给需要维护网上银行系统的技术人员提供系统普通用户,并严格限制普通用户对系统重要目录、文件的访问;严格规定用户密码的规则,用户必须设置符合一定规则的高强度密码,如长度至少为6位,必须混合字母、数字等;严格限制可以登录服务器的机器地址,只有固定机器才能访问生产服务器,以防止非法登录
21、,提高系统安全;规定至少两名系统管理员同时在场的前提下方可对生产主机进行操作。(4)完善系统审计和日志功能。所有网上银行服务器均开启了审计功能,对修改重要系统文件、停止系统进程、安装应用软件和扫描系统等重要的系统事件发生的时间、用户等作详细记录。(5)规范操作流程。所有对网上银行服务器的操作,如更改硬件、安装软件、新功能投产等,必须事先描述操作内容(包括网络配置、操作系统、数据库、网页、配置文件、应用程序等)的具体步骤,并遵循规范的审批流程,在具体实施中,采用双人复核操作,降低因人为操作失误而带来的风险。(6)及时完善系统。对网上银行系统所涉及到的操作系统、数据库、Web Server服务器、
22、防病毒软件等进行跟踪,及时下载并安装最新的补丁对系统进行完善。(7)全面的系统备份和恢复措施。对网上银行系统制定全面的系统备份和恢复策略,所有生产系统的服务器均配备有备份机,备份机在系统配置、软件配置上均与生产机一致,在生产机出现故障时可以替代生产机提供网银服务。第五章 风险处理第二十二条 省联社、各办事处、市联社及各县级联社要建立健全网上银行突发事件应急处理机制,制定有效的应急预案,并定期对应急预案的操作性进行检验,定期或不定期测试网络、业务应用系统的运行情况,以控制和减少重大突发事件引发的问题,保证网上银行业务正常开展和网上银行业务应用系统的连续性运营。第二十三条 各办事处、市联社要建立网
23、上银行业务重大突发事件的报告制度。发生重大突发事件后,必须按有关规定在第一时间报告省联社,不得隐瞒和拖延。同时要立即根据应急预案及时采取有效措施,尽快恢复网上银行业务的正常开展,最大限度减少损失和影响,防止事态扩展和蔓延。第二十四条 网上银行业务品种出现风险问题,各办事处、市联社须及时上报省联社,由省联社统一对外协调解决。第二十五条 由于业务、技术等原因引发的网上银行业务风险问题,必须采取有效措施进行改正:(一)依照相关法律法规,承担客户的资金损失;(二)认真分析和总结风险原因,积极采取补救措施,堵塞管理漏洞,规避业务风险;(三)按照山东省农村信用社员工违规违纪行为处理办法及相关规定追究有关人
24、员责任。构成犯罪的,依法追究其法律责任。第二十六条 由于客户自身原因发生的泄漏交易密码、操作失误及未按照服务协议尽到应尽的安全防范和保密义务所造成的损失,依据有关法律法规、章程或协议规定,向客户说明原因,由客户承担相应责任。由于客户恶意违约或其他不正当行为造成山东省农村信用社资金损失的,要对客户的错误做法采取有效措施予以制止,并依照有关法律法规维护自身的正当权益。第二十七条 由于第三方(服务提供商、业务合作伙伴)原因引发的风险问题,应根据相关法律法规、合同协议,依法追究第三方责任。第二十八条 由于非法侵害者(黑客、计算机病毒或假冒网站等)造成的风险问题,必须报经公安、司法机关进行处理。第六章
25、安全评估第二十九条 网上银行安全评估,是指在开办网上银行业务过程中,对网上银行的安全策略、内控制度、风险管理、系统安全以及客户保护等方面进行的安全测试和管控能力的考察与评价。第三十条 网上银行安全评估工作须遵循银行业监管部门的规定,并自觉接受银行业监管部门的监督指导。第三十一条 网上银行安全评估工作由省联社统一组织,根据业务发展和风险管理需要,每年对网上银行进行一次全面的自我评估,形成网上银行年度评估报告(一式两份),并于下一年度的3月底之前报送监管部门。同时,按照银监会的有关要求聘请符合一定资质条件、具备相应评估能力的评估机构,定期对电子银行系统进行安全评估,并将其作为电子银行风险管理的重要
26、组成部分。第三十二条 网上银行安全评估必须包括以下主要内容:(一)安全策略;(二)内控制度建设;(三)风险管理状况;(四)系统安全性;(五)网上银行业务运行连续性计划;(六)网上银行业务运行应急计划;(七)网上银行风险预警体系;(八)其他重要安全环节和机制的管理。第三十三条 网上银行业务开办过程中,有下列情形之一的,要立即组织安全评估:(一)由于安全漏洞导致系统被攻击瘫痪,修复后恢复运行的;(二)网上银行系统进行重大更新或升级后,出现系统意外停机12小时以上的;(三)网上银行关键设备与设施更换后,出现重大事故,修复后仍不能保持连续不间断运行的;(四)基于网上银行安全管理需要立即评估的。第三十四
27、条 承担网上银行安全评估工作的机构包括省联社之外的专业化评估机构和省联社内部独立于网上银行业务运营和管理部门的评估部门。第三十五条 在评估机构的选择上,必须采用设计者、开发者为一方,使用者为另一方,评估者为第三方的方式,保证评估者从第三方的角度客观进行评估。第三十六条 选择外部评估机构或内部评估机构,须按照银行业监管部门的规定,由省联社电子银行部等有关部门提出意见报省联社主管领导审批。第三十七条 如选择外部评估机构,在开始网上银行安全评估之前,省联社要与评估机构针对评估的范围、重点、时间和要求等问题进行充分沟通,制定评估计划和评估协议,由双方签字认可。如选择内部评估机构,在开始网上银行安全评估
28、之前,电子银行部要与评估部门针对评估的范围、重点、时间和要求等问题进行充分沟通,制定评估计划和评估协议,由双方签字认可。第三十八条 省联社要在签署评估协议后2周内,将评估机构(或评估部门)简介、拟采用的评估方案和评估步骤等,报送银行业监管部门。第三十九条 省联社选择的外部评估机构,必须取得中国银监会的资质认定,并应具备以下条件:(一)具有较为完善的开展网上银行安全评估的管理制度和操作规程;(二)制定了系统、全面的评估手册或评估指导文件,内容应至少包括评估程序、评估方法、评估依据和评估标准等;(三)拥有与网上银行安全评估相关的各类专业人才,了解国际和中国相关行业的行业标准;(四)其他从事网上银行
29、安全评估应当具备的条件。第四十条 省联社选择的内部评估机构,除应具备上述规定的有关条件外,必须具备以下条件:(一)独立于网上银行业务系统开发部门、运营部门和管理部门;(二)未直接参与过有关网上银行设备的选购工作。第四十一条 选择外部评估机构进行评估时,必须与其签订书面服务协议,在服务协议中,必须含有明确的保密条款和保密责任。选择内部部门作为评估机构时,由电子银行部与评估部门签订评估责任确定书,在责任确定中要具体体现安全评估的责任人和责任部门,保障评估部门不得泄露网上银行业务的相关机密。第四十二条 省联社不得向第三方泄露银行监管部门的有关网上银行安全评估工作的通报信息,避免影响外部机构的其他业务
30、活动,也不得将有关信息用于与网上银行安全评估工作无关的其他业务活动。第四十三条 在网上银行安全评估过程中,省联社和评估机构之间须建立信息保密工作机制。借给评估机构阅读相关资料、复制相关文件或数据等,应进行登记、签字;借给评估机构阅读的文件资料不得带出指定场所;复制的文件或数据如确需带出必须详细登记并由相关负责人签字确认;评估过程中废弃的文件、材料和不再使用的数据,应立即予以销毁或删除;评估工作结束后,双方应就有关机密数据、资料等交接情况签署说明。第四十四条 在评估工作完成后1个月内获取评估机构撰写的评估报告,评估报告必须具备其法定代表人的签字。第四十五条 在收到评估机构评估报告1个月内,将评估
31、报告抄报银行业监管部门。第四十六条 针对评估报告结论中提出的网上银行安全管理存在的主要问题以及评估机构提出的整改建议,要制定出相应的整改方案并落实整改措施。第七章 附则第四十七条 办法由省联社制定,解释、修改亦同。第四十八条 本办法自下发之日起执行。附件 山东省农村信用社网上银行业务重大事项报告表填报单位发生事件单位业务类型个人网银大众版 个人网银专业版 企业网上银行 其他:事件类型安全事件业务差错服务中断其他:事件发生时间涉及金额损失金额联系人联系电话移动电话事件情况或处理结果部门公章:经办人: 负责人: 日期:填写说明:此页填满,可另附A4纸填写。2010年读书节活动方案一、 活动目的:书
32、是人类的朋友,书是人类进步的阶梯!为了拓宽学生的知识面,通过开展“和书交朋友,遨游知识大海洋”系列读书活动,激发学生读书的兴趣,让每一个学生都想读书、爱读书、会读书,从小养成热爱书籍,博览群书的好习惯,并在读书实践活动中陶冶情操,获取真知,树立理想! 二、活动目标: 1、通过活动,建立起以学校班级、个人为主的班级图书角和个人小书库。 2、通过活动,在校园内形成热爱读书的良好风气。 3、通过活动,使学生养成博览群书的好习惯。4、通过活动,促进学生知识更新、思维活跃、综合实践能力的提高。 三、活动实施的计划 1、 做好读书登记簿 (1) 每个学生结合实际,准备一本读书登记簿,具体格式可让学生根据自
33、己喜好来设计、装饰,使其生动活泼、各具特色,其中要有读书的内容、容量、实现时间、好词佳句集锦、心得体会等栏目,高年级可适当作读书笔记。 (2) 每个班级结合学生的计划和班级实际情况,也制定出相应的班级读书目标和读书成长规划书,其中要有措施、有保障、有效果、有考评,简洁明了,易于操作。 (3)中队会组织一次“读书交流会”展示同学们的读书登记簿并做出相应评价。 2、 举办读书展览: 各班级定期举办“读书博览会”,以“名人名言”、格言、谚语、经典名句、“书海拾贝”、“我最喜欢的”、“好书推荐”等形式,向同学们介绍看过的新书、好书、及书中的部分内容交流自己在读书活动中的心得体会,在班级中形成良好的读书氛围。 3、 出读书小报: -精品 文档-